1.1.1.1 とは何ですか?

1.1.1.1はDNSクエリをより高速で、より安全にするためのパブリックDNSリゾルバーです。

Share facebook icon linkedin icon twitter icon email icon

1.1.1.1

学習目的

この記事を読み終えると、以下のことができます。

  • 1.1.1.1のパブリックDNSサーバーを定義する
  • インターネット・プロバイダーのDNSリゾルバ―を使用する場合の問題を概説
  • 1.1.1.1のパフォーマンスとセキュリティ上の利点について説明します。

1.1.1.1 とは何ですか?

1.1.1.1は、インターネットを高速かつプライベートに閲覧する方法を提供するパブリック DNSリゾルバーですが、ほかの多くのDNSリゾルバ―とは異なり、ユーザーデータを広告主に販売していません。1.1.1.1を導入することで、最速のリゾルバーになります。

DNS とは何ですか?

ドメインネームシステム(DNS)は、いわばインターネットの電話帳のようなものです。ユーザーは、オンラインで情報にアクセスするときに、「nytimes.com」や「espn.com」のようなドメイン名を使用します。Webブラウザーは、 インターネットプロトコル(IP)で通信を行います。DNSは、ブラウザーがインターネットリソースを読み込めるように、ドメイン名をIPアドレスに変換します。

DNS

インターネットに接続された個々のデバイスには一意のIPアドレスがあり、このIPアドレスを使用してほかのマシンがそのデバイスを検出します。DNSサーバーの登場で、192.168.1.1などのIPアドレス(IPv4の場合)や、さらに複雑な2400:cb00:2048:1:c629:d7a2のような新しい英数字のIPアドレス(IPv6の場合)を覚える必要がなくなりました。

DNSリゾルバーとは?

ユーザーがfacebook.comなどのWebアプリケーションへの訪問を要求する場合、ユーザーのコンピューターは、アプリケーションを読み込めるように接続先となるサーバーを知る必要があります。コンピューターは、この「名前からアドレス」への変換を行うのに必要な情報を持っていないため、専用のサーバーにそれを行うよう要求します。


この専用のサーバーのことを、DNS再帰的リゾルバーと呼びます。このリゾルバーの役目は、たとえばcloudflare.comなら2400:cb00:2048:1::c629:d7a2のように、ドメイン名に対応するアドレスを見つけて、そのアドレスを要求したコンピューターに返すことです。


コンピューターは、IPアドレスで識別される特定のDNSリゾルバーと通信するように設定されています。通常、そうした設定は、ホームネットワーク接続やワイヤレス接続ではユーザーのISP(ComcastやAT&Tなど)によって、オフィス接続ではネットワーク管理者によって管理されます。ユーザーは、コンピューターの通信の相手となるDNSリゾルバーを手動で変更することもできます。

ISPのリゾルバーの代わりに1.1.1.1を使用する理由

サードパーティのDNSリゾルバーに切り替える主な理由は、セキュリティとパフォーマンスです。ISPは、必ずしもDNS上で強力な暗号化を使用しているわけでも、DNSSECをサポートしているわけでもありません。したがって、DNSクエリはデータ漏えいの脆弱性があり、ユーザーは中間者攻撃のような脅威にさらされます。また、ISPでは、しばしばDNSレコードを使用して、ユーザーの活動や行動を追跡しています。これらのリゾルバーは必ずしも速度が速いとは限りません。使用量が大幅に増えて過負荷状態になると、より遅くなります。ネットワーク上に一定量のトラフィックがあると、ISPリカーサーはリクエストへの応答を完全に停止する可能性があります。場合によっては、攻撃者がISPのリカーサーに意図的に過負荷をかけてサービス拒否を引き起こします。

サードパーティのDNSリゾルバーに切り替える主な理由は、セキュリティとパフォーマンスです。ISPは、必ずしもDNS上で強力な暗号化を使用しているわけでも、DNSSECをサポートしているわけでもありません。したがって、DNSクエリはデータ漏えいの脆弱性があり、ユーザーは中間者攻撃のような脅威にさらされます。


また、ISPはDNSレコードを使用してユーザーの活動と行動を追跡することが多いです。これらのリゾルバーは必ずしも速度が速いとは限りません。使用量が大幅に増えて過負荷状態になると、より遅くなります。


ネットワーク上に一定量のトラフィックがあると、ISPリカーサーはリクエストへの応答を完全に停止する可能性があります。場合によっては、攻撃者がISPのリカーサーに意図的に過負荷をかけてサービス拒否を引き起こします。

DNSハイジャック

こうしたISPリカーサーの欠点とリスクは、1.1.1.1のようなセキュアな再帰DNSサービスを使用することで軽減できます。最先端の暗号化や最速の名前解決の速度などのセキュリティ機能を備えた1.1.1.1は、全体的なユーザー体験を向上させます。

1.1.1.1がほかのパブリックDNSサービスより安全な理由

一部の再帰DNSサービスは、DNSSECをサポートしているため、安全なサービスであると主張しています。DNSSECをサポートすることは優れたセキュリティ対策ですが、そうしたサービスのユーザーは、皮肉なことにDNS企業自体から保護されていません。こうした企業の多くは、営利目的で使用するためにDNS顧客からデータを収集します。一方、1.1.1.1はユーザーデータマイニングを行いません。デバッグログは24時間保持された後に削除されます。

一部の再帰DNSサービスは、DNSSECをサポートしているため、安全なサービスであると主張しています。DNSSECをサポートすることは優れたセキュリティ対策ですが、そうしたサービスのユーザーは、皮肉なことにDNS企業自体から保護されていません。


こうした企業の多くは、営利目的で使用するためにDNS顧客からデータを収集します。一方、1.1.1.1はユーザーデータマイニングを行いません。デバッグログは24時間保持された後に削除されます。


1.1.1.1は、クエリ名の最小化など、ほかの多くのパブリックDNSサービスでは利用できないセキュリティ機能も提供します。クエリ名の最小化により、権威DNSサーバーに最小限のクエリ名のみが送信されるので、機密情報の漏えいを防止できます。

1.1.1.1が最速の再帰DNSサービスとされる理由

Cloudflareネットワークの強みを活かすことで、1.1.1.1は、DNSクエリに迅速に応答できるという優位性を持ちます。世界中のCloudflareの1,000以上のサーバーにデプロイされているため、全世界のユーザーは1.1.1.1から迅速な応答を得ます。これに加えて、これらのサーバーはCloudflareプラットフォーム上の2,000万以上のインターネットプロパティにアクセスできるため、これらのドメインのクエリを非常に高速に実行できます。

DNS速度の比較

1.1.1.1の最も優れている点は、最速の消費者向けDNSサービスであるだけでなく、無料で利用できることです。 5分間で1.1.1.1をセットアップする方法をご覧ください